هک با پیام دوستانه

کارشناسان امنیتی هشدار می‌دهند که یک نوع فیشینگ مدرن با استفاده از بدافزارهای مخفی در فایل‌های APK و پیام‌های «عکس یادگاری» قربانی می‌سازد و با دسترسی به پیامک‌ها، رمزهای دوم و حتی حساب‌های بانکی و کیف‌های رمزارزی، چرخه نفوذ را به مخاطبان گسترش می‌دهد؛ حمله‌ای که از طریق گفت‌وگوی یک دوست یا فامیل آغاز می‌شود و می‌تواند به سادگی از یک فایل آلوده در تلگرام یا واتساپ منتشر شود.

۱۴۰۴/۰۸/۲۷ - ۰۷:۰۷

ژوهشگران امنیتی در حال بررسی نمونه‌ای از فایل بدافزار مخفی در APK است که از طریق پیام‌های یادگاری به گوشی‌ها نفوذ می‌کند.

به گزارش ملت بیدار: در تازه‌ترین گزارش‌های امنیتی، محققان از یک شیوه تازه فیشینگ سخن می‌گویند که با ارسال پیام‌های دوستانه و وعده «عکس‌های یادگاری»، کاربر را به دانلود و نصب یک فایل مخرب (APK) ترغیب می‌کند. این بدافزار با نفوذ به گوشی، به مجموعه‌ای از داده‌های حساس دسترسی پیدا می‌کند و مسیر شیوع را به سوی دیگران باز می‌کند.

پس از نصب فایل، کاربر بی‌اطلاع باقی می‌ماند در حالی که بدافزار در پس‌زمینه اجرایی می‌شود و به پیام‌رسان‌ها، مخاطبان و داده‌های پایه دستگاه دسترسی می‌یابد. نخستین هدف، دسترسی به پیامک‌ها و دریافت رمز دوم (OTP) است که بالاترین ارزش برای مهاجمان را دارد.

این بدافزار می‌تواند با دسترسی به فهرست مخاطبان، پیام‌های مشابهی را به دیگران ارسال کند و بدین صورت چرخه فیشینگ را به سرعت گسترش دهد. در کدهای اولیه فایل مخرب، نام برخی پلتفرم‌ها مانند روبیکا نیز آمده است تا از طریق مخاطبان فرد، به گروه‌های بزرگ برسند. نکته مهم این است که مجرمان با استفاده از حالت «آفلاین مود» سعی می‌کنند وقتی کاربر به اینترنت وصل می‌شود، داده‌ها را از طریق پیامک رمزگذاری‌شده به شماره‌ دستگاه دیگری بفرستند و از آنجا به سرور خود بازگردانند.

دسترسی به حساب‌های بانکی و کیف پول‌های رمزارزی
سورس کد بدافزار در بررسی‌های امنیتی نشان داد که وقتی کاربر وارد هر برنامه بانکی می‌شود، بدافزار با کنترل بر روی این برنامه اقدام به ثبت داده‌ها می‌کند یا از طریق تصاویر صفحه‌نمایش اقدام به اخذ اطلاعات می‌کند. به همین دلیل برخی بانک‌ها اکنون از قابلیت جلوگیری از گرفتن اسکرین‌شات در اپلیکیشن‌های بانکی استفاده می‌کنند.

برخی از قربانیان در پیام‌های گروه‌های فیشینگ از نمونه‌برداری‌های مختلفی برای تخریب هویت استفاده می‌کنند و از طریق احراز هویت، دست به جابه‌جایی و تخلیه حساب‌ها می‌زنند. دامنه‌های داخلی با پسوند ir. و حضور هاست‌های ایرانی به مهاجمان امکان می‌دهد فیشینگ را بدون فیلتر در اختیار کاربران ایرانی قرار دهند، در حالی که فشردگی فیلترینگ برای هاست‌های خارج از کشور، آن‌ها را در معرض شناسایی سریع‌تر قرار می‌دهد.

پلیس فتا فراجا با اشاره به این نوع تهدیدات، به مهم‌ترین راهکارهای حفاظت اشاره می‌کند از جمله فعال‌سازی احراز هویت دو مرحله‌ای در همه پیام‌رسان‌ها و شبکه‌های اجتماعی، نصب برنامه‌ها فقط از منابع معتبر و رسمی، پرهیز از باز و اجرای فایل‌های ناشناس یا فرستاده‌شده از طریق پیام‌رسان‌ها، و آگاهی از اینکه هر فایل ممکن است بدافزار باشد و کنترل کامل دستگاه را در اختیار مجرم سایبری قرار دهد./ پایان پیام